LE SANZIONI IN PRATICA – CASI SPECIFICI
L’entrata in vigore del GDPR (Regolamento europeo n. 679/2016) ha previsto, un periodo c.d. “cuscinetto” ai fini dell’adeguamento, da parte delle PMI e dei Professionisti, alle nuove disposizioni dettate dallo stesso GDPR 679/2016.
Da maggio 2019 è terminato tale periodo di flessibilità e, dunque, è iniziata la fase di verifica e controllo, da parte dell’autorità nazionale competente (Garante della Privacy), della coerente applicazione delle norme dettate dal GDPR nonché, nei casi di violazione della suddetta normativa, dell’irrogazione delle prime sanzioni amministrative.
Tali sanzioni, erogate solo a seguito di audit, ispezioni e/o indagini, rappresentano un elemento centrale del nuovo regime introdotto dal regolamento per far rispettare le norme, in quanto costituiscono un componente importante dell’insieme di strumenti di applicazione a disposizione delle autorità di controllo, congiuntamente alle altre misure previste dall’articolo 58.
ELENCHIAMO DI SEGUITO ALCUNI DELE SANZIONI GIA’ EROGATE ALLE IMPRESE
1. LA SANZIONE ALL’ASSOCIAZIONE ROUSSEAU
Con provvedimento n. 83 del 4 aprile 2019, il Garante per la protezione dei dati personali ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento.
Nel caso di specie l’Autorità garante, secondo quanto previsto dall’art. 32 del GDPR, ha riscontrato:
1. “il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute (di cui alla specifica misura necessaria, tecnica e organizzativa, prescritta dall’Autorità con il provvedimento del 21 dicembre 2017 e oggetto di due proroghe) configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima;
ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti).
Ciò a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attività di hakeraggio o comunque ad attacchi informatici, quali quelli verificatisi più volte, anche successivamente al data breach di agosto 2017”;
2. “l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza (cfr. regole nn. 2, 3 e 13 del disciplinare tecnico di cui all’allegato B del Codice) che i titolari del trattamento erano tenuti ad adottare al fine di assicurare un livello minimo di protezione dei dati personali.
E’ pertanto evidente come la mancata adozione di tali misure e, per converso, l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma rappresentino una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate”.
2. LA SANZIONE INFLITTA AL MEDICO ACCUSATO DI AVER UTILIZZATO DATI DI EX-PAZIENTI PER PROPAGANDA ELETTORALE
Con provvedimento del 14 febbraio 2019 il Garante della Privacy ha comminato la sanzione di €. 16.000 ad un medico per trattamento illecito di dati personali.
Nel caso di specie, il professionista avrebbe utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso.
A seguito dell’espletamento dell’apposita istruttoria, il Garante per la Privacy ha ritenuto sussistente la responsabilità del medico sotto due distinti profili:
1. In primo luogo , il medico, non avrebbe reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy, realizzandosi così la violazione di quanto espressamente previsto all’art. 161;
2. In secondo luogo, il medico avrebbe utilizzato i dati dei suoi ex-pazienti per finalità diverse da quelle di cura per le quali erano stati raccolti, senza aver acquisito per tale specifivo utilizzo, uno specifico e autonomo consenso, in aperta violazione del disposto di cui all’art. 162, comma 2.
3. MARKETING: SANZIONE DI 27 MILIONI E 800 MILA EURO A TIM
Con provvedimento del 15 gennaio 2020, il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing.
Nel caso di specie, a partire dal gennaio 2017, e fino ai primi mesi del 2019, erano pervenute all’Autorità Garante, centinaia di segnalazioni relative alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali.
Tali irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.
A seguito dell’espletamenteo dell’apposita istruttoria, l’Autorità ha constatato numerose e variegate violazioni della disciplina in materia di protezione dei dati personali e, nello specifico:
– contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect” (ossia a soggetti non clienti), in assenza del consenso degli interessati; numerazioni contattate fino a 155 volte in un mese; assenza di controllo da parte della Società sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali;
– errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black list)”; mancato aggiornamento delle black list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari; incongruenze, non sufficientemente chiarite, dei dati presenti nelle black list di TIM rispetto a quelli delle black list dei suoi partner; utenze inserite nelle black list molti giorni dopo l’espressione del diniego al marketing; utenze presenti nelle black list dei partner ma non inserite in quelle della Società;
– telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di consenso degli interessati o di altra idonea base giuridica; telefonate commerciali verso numerazioni “fuori lista” per le quali il provvedimento dell’Autorità del 22 giugno 2016 (in www.gpdp.it. doc. web n. 5255159) aveva vietato alla stessa TIM il trattamento per finalità di marketing;
– contatti promozionali effettuati dalla Società nonostante l’esercizio del diritto di opposizione degli interessati ovvero effettuati nel quadro di contatti di servizio o ancora senza dare tempestivo riscontro agli interessati o recepire nei propri sistemi l’avvenuto esercizio del diritto di opposizione;
– casi di conservazione, nel CRM (Customer Relationship Management), della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni); casi di utilizzo abusivo di dette numerazioni per finalità promozionali;
– acquisizione del consenso promozionale nell’ambito del programma “TIM Party” con modalità che non ne assicurano la libera manifestazione;
– rispetto ad alcune App destinate alla clientela, il rilascio agli interessati di indicazioni non corrette, né trasparenti sul trattamento dei dati, nonché modalità di acquisizione del consenso non conformi alla disciplina vigente;
– utilizzo di modulistica cartacea di raccolta di dati personali con richiesta di un unico consenso per diverse finalità;
– gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati; inadeguata gestione della Società dei sistemi che trattano dati personali, in violazione, in particolare, dei principi di esattezza dei dati, nonché di riservatezza e integrità dei sistemi.
4. SANZIONE INFLITTA A CALL-CENTER CHE SVOLGEVA ATTIVITÀ DI CONTATTO DI POTENZIALE CLIENTELA E OFFERTA DI SERVIZI TELEFONICI PER CONTO DELLA SOCIETÀ WIND TRE S.P.A..
Con provvedimento del 09 luglio 2020 Garante della Privacy ha comminato la sanzione di €. 200.000,00 alla società Merlini S.r.l. quale società operante esclusivamente per acquisire clienti per conto di Wind Tre S.p.A., in forza di un contratto di agenzia che prevedeva, nell’allegato “G”, la designazione dell’agenzia quale responsabile del trattamento e, nell’allegato “H”, le relative istruzioni.
Ebbene, dell’espletata istruttoria, il Garante ha accertato e contestato alla società Merlini s.r.l. le seguenti violazioni:
– “violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, per aver illecitamente acquisito dalla Alessandro Corbelli Sunrise s.r.l.s. dati personali contenuti in proposte contrattuali, raccolti in fase di campagna di telemarketing in assenza del consenso degli interessati ovvero di altra condizione di liceità dei correlati trattamenti”;
– “violazione dell’art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, con riferimento allo svolgimento, da parte della Alessandro Corbelli Sunrise s.r.l.s di attività di telemarketing senza aver consultato il Registro delle opposizioni a cadenza mensile o comunque prima di ogni campagna”;
– “violazione dell’art. 28 del Regolamento, per aver fatto ricorso alle prestazioni di società e persone fisiche (i procacciatori), per lo svolgimento dei trattamenti di dati personali con finalità promozionali dei prodotti e servizi di Wind Tre S.p.A., senza aver informato quest’ultima, nella sua qualità di Titolare del trattamento, ovvero senza aver richiesto alla medesima autorizzazione scritta specifica; nonché per aver instaurato il rapporto di collaborazione con le predette società e persone fisiche senza aver instaurato nei confronti delle medesime, con contratto o altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato fra Wind Tre S.p.A. e Merlini s.r.l.”;
– “violazione dell’art. 29 del Regolamento, per aver consentito di svolgere i trattamenti di cui sopra a soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni”.
5. SANZIONE INFLITTA AD ENTE PUBBLICO STRUMENTALE COMUNALE, ISTITUITO PER LA GESTIONE DEL TEATRO COMUNALE
Con provvedimento del 28 maggio 2020, il Garante della Privacy ha ordinato all’Azienda di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni dei principi di base del trattamento dei dati personali, contenuti negli art. 5, par. 1, lett. a) e c) e art. 9, parr. 1, 2 e 4 del Regolamento, e la violazione del divieto di diffusione dei dati relativi alla salute, di cui all’art. 2-septies, comma 8, del Codice.
In particolare, dell’espletamento dell’istruttoria, il Garante ha accertato che l’Azienda aveva pubblicato sul sito web istituzionale il documento contenente dati personali riferiti agli interessati (dipendenti o congiunti degli stessi), consistenti in dati personali idonei a rivelare dati relativi alla salute degli stessi:
– in maniera non conforme ai principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. a) e c), del Regolamento;
– in violazione del divieto di diffusione dei dati sulla salute (art. 9, parr. 1, 2 e 4, del Regolamento e art. 2-septies, comma 8, del Codice).
6. SANZIONE INFLITTA A SOCIETÀ CHE EFFETTUAVA UN TRATTAMENTO DI DATI PERSONALI IN ASSENZA DI VALIDA INFORMATIVA DI CUI ALL’ART. 13 DEL CODICE
Con ordinanza di ingiunzione dell’11 aprile 2019, il Garante, sulla base degli accertamenti espletati dal Nucleo privacy della Guardia di finanza, nei confronti della Società AD Sphera Group S.a.s. di Caneppele De Almeida Michelle & c., dai quali era risultato che la società effettuava un trattamento di dati personali per mezzo di due form di raccolta dati, denominati “Contatti” e “Candidati”, presente sul proprio sito internet www.admoda.it, accertava l’assenza dell’informativa di cui all’art. 13 del Codice.
In particolare, dell’esame della documentazione fornita dal Nucleo privacy della Guardia di finanza, il Garante ha accertato che la Società aveva effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) senza rendere l’informativa agli interessati ai sensi dell’art. 13 del Codice attraverso due form di raccolta dati presenti sul sito web della società e, dunque, ex art. 161 del Codice (che punisce la violazione delle disposizioni di cui all’art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro per ciascun rilievo) in combinato con l’art. 164-bis, comma 1, del Codice (il quale prevede che se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti), ingiungeva alla società AD Sphera Group s.r.l., in persona del legale rappresentante pro-tempore, di pagare la somma di euro 2.400,00 (duemilaquattrocento) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall’art. 161 del Codice.
7. SANZIONE INFLITTA NEI CONFRONTI DI AGENZIA IMMOBILIARE
Con Ordinanza di ingiunzione del 11 ottobre 2018, il Garante, ha contestato all’agenzia immobiliare Toscocountry di Pizzi Claudia (di seguito “l’Agenzia”), la violazione prevista dagli artt. 23, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 4 settembre 2018, n. 101 in vigore dal 19 settembre 2018).
Ed invero, dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso che, alla luce dei un reclamo presentato all’Autorità da parte di due soggetti (interessati), l’agenzia immobiliare avrebbe inviato dati personali di uno dei reclamanti ad una mail aziendale in uso a più persone compreso il destinatario.
Ciò posto, il Garante della Privacy ordinava ed ingiungeva all’agenzia immobiliare, sulla base degli atti e delle considerazioni emerse nel corso dell’istruttoria, di aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice (nella formulazione vigente all’epoca dei fatti), la violazione indicata nell’atto di contestazione da cui era scaturito l’accertamento e, pertanto, visto l’art. 162, comma 2-bis, del Codice (nella formulazione vigente all’epoca dei fatti),che puniva le violazioni delle disposizioni indicate nell’art. 167 del Codice, fra le quali figura anche l’art. 23, con la sanzione amministrativa del pagamento di una somma da euro 10.000 ad euro 120.000 e considerato che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ex art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione accertata.
8. SANZIONE INFLITTA A SOCIETÀ SPROVVISTA DI INFORMATIVE PER IL TRATTAMENTO DEI DATI PERSONALI
Con ordinanza di ingiunzione del 21 novembre 2018, il Garante, sulla base degli accertamenti espletati dal Nucleo privacy della Guardia di finanza, nei confronti della Società Legea s.p.a., dai quali è risultato che la società, utilizzando due form di raccolta denominati “lavora con noi” e “modulo affiliato” presenti nel sito web www.legea.it, effettuava, quale titolare, un trattamento di dati degli interessati, accertava la totale assenza dell’informativa di cui all’art. 13 del Codice.
In particolare, dell’esame della documentazione fornita dal Nucleo privacy della Guardia di finanza, il Garante ha accertato che la Società aveva effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) senza rendere la prescritta informativa agli interessati ai sensi dell’art. 13 del Codice sia attraverso il form di raccolta denominato “modulo affiliato” sia attraverso il form di raccolta denominato “lavora con noi”.
Pertanto, in considerazione dell’art. 161 del Codice, che punisce la violazione delle disposizioni di cui all’art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro e ritenuto che, nel caso di specie, ricorrevano le condizioni per applicare l’art. 164-bis, comma 1, del Codice (il quale prevede che se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti), ordinava alla società Legea s.p.a., in persona del legale rappresentante pro-tempore, di pagare la somma di euro 2.400,00 (duemilaquattrocento) a titolo di sanzione amministrativa pecuniaria per la violazione, prevista dall’art. 161 del Codice.
CONCLUSIONI
Come facilmente riscontrabile, le prime sanzioni non sono tardate ad arrivare.
Tuttavia, risulta evidente come, almeno in un primo periodo, c.d. “cuscinetto”, l’Autorità Nazionale per la tutela dei dati personali ha agito in modo tale da assicurare il rispetto del GDPR senza, tuttavia, irrogare sanzioni eccessive per i titolari del trattamento, al chiaro scopo di garantire una applicazione graduale e progressiva del Regolamento europeo e di orientare titolari e responsabili verso una corretta applicazione del GDPR.
Oggi, però, a distanza di più di un anno dalla fine del periodo “cuscinetto”, le sanzioni si sono fatte più pesanti nei confronti di tutti quei soggetti ancora non in regola rispetto alla normativa sulla privacy.
Pertanto, le aziende ed i professionisti devono avere consapevolezza della necessità di avere una giustificazione/autorizzazione per ogni scelta e decisione compiuta nel trattamento dei dati personali dei soggetti interessati, accompagnata all’accortezza di adeguarsi il prima possibile alle migliori prassi operative e di sicurezza alla luce del Regolamento europeo n. 679/2016 ed all’adozione dei provvedimenti più idonei ed opportuni.
I fornitori di servizi, i negozi online, le imprese che hanno scambi commerciali rilevanti con Paesi esteri, ogni società avente un sito internet, professionisti, imprese, agenzie: occorre, per ognuno di questi soggetti, l’obbligo di prestare la massima attenzione alle disposizioni previste dal GDPR ed adeguarsi, immediatamente, agli obblighi che lo stesso impone al fine di evitare le sanzioni di cui allo stesso.
Per saperne di più o per richiedere una consulenza gratuita non esitare a contattarci a info@studioevoluto.it oppure compila il form sottostante e ti contatteremo al più presto
